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Zur Einhaltung der „Safe Harbor“ -Grundsätze bei der transatlantischen 
Datenübermittlung 


Vorbemerkung der Fragesteller 

Am 3. Juni 2010 hat die Bundesministerin für Ernährung, Landwirtschaft und 
Verbraucherschutz Ilse Aigner in einer Pressemitteilung erklärt, dass sie ihre 
Mitgliedschaft in dem sozialen Netzwerk Facebook beenden werde. Zur Be- 
gründung gab sie an, dass sie es als Verbraucherschutzministerin nicht akzep- 
tieren könne, dass ein Unternehmen wie Facebook gegen das Datenschutz- 
recht verstößt und die Privatsphäre seiner Mitglieder ignoriert. 

Daten von EU-Bürgern dürfen nur dann an Drittstaaten übermittelt werden, 
wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Um den 
Handel zwischen der Europäischen Union (EU) und den USA zu erleichtern, 
hat das US-Handelsministerium die „Safe Harbor“-Grundsätze entwickelt und 
in „häufig gestellten Fragen“ Leitlinien zu ihrer Umsetzung festgelegt. Am 
26. Juli 2000 hat die Europäische Union anerkannt, dass diese Grundsätze ein 
ausreichendes Datenschutzniveau gewährleisten. So können Daten europäi- 
scher Verbraucherinnen und Verbraucher an Unternehmen in den USA über- 
mittelt und dort verarbeitet werden, sofern diese Unternehmen den Grund- 
sätzen beigetreten sind. 

Die „Safe Harbor“-Grundsätze sind in letzter Zeit zunehmend in die Kritik 
geraten. So hat etwa der australische Datenschutzexperte Chris Connolly in 
seiner Untersuchung „The US Safe Harbor - Fact or Fiction?“ Ende 2008 kri- 
tisiert, dass diese Grundsätze in der Regel von den Mitgliedsuntemehmen 
nicht eingehalten werden. Daneben werden Vollzugsdefizite, die mangelnde 
Sanktionierung von Verstößen, die unwahre Behauptung mehrerer Unterneh- 
men, den Grundsätzen beigetreten zu sein sowie die Tatsache, dass die vom 
US-Handelsministerium geführte Untemehmensliste Unternehmen enthält, 
die nicht mehr Mitglied des Programms sind, kritisiert. 

Die obersten Datenschutzbehörden des Bundes und der Länder haben in ihrem 
Beschluss des so genannten Düsseldorfer Kreises vom 28./29. April 2010 dar- 
auf hingewiesen, dass sich die datenexportierenden Unternehmen bei Über- 
mittlungen von Daten in die USA nicht mehr allein auf die Behauptung einer 
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„Safe Harbor“-Zertifizierung des Datenimporteurs verlassen können und sich 
diese vielmehr nachweisen lassen sollen. So äußerte der Leiter des Unabhän- 
gigen Landeszentrums für Datenschutz Schleswig-Holstein Thilo Weichert: 
„Umgehend muss mit den USA in Verhandlungen eingetreten werden, um die 
Grundsätze zu überarbeiten und effektiv zu machen.“ 

Auch der Trans Atlantic Consumer Dialogue (TACD) hat in seiner Resolution 
vom 10. Mai 2010 den Regierungen vorgeworfen, „nicht ausreichend für den 
Schutz der Mitglieder von Online-Communities zu sorgen“. 


1 . Welchem Ziel dient die Anerkennung der „Safe Harbor“-Grundsätze und 
der in den „häufig gestellten Fragen“ niedergelegten Leitlinien nach Auf- 
fassung der Bundesregierung? 

Grenzüberschreitender Verkehr von personenbezogenen Daten ist für die 
Entwicklung des internationalen Handels notwendig. Die Bemühungen der 
Europäischen Union, den Menschen ein hohes Schutzniveau zu garantieren, 
würden durch die Weitergabe in Drittländer zunichte gemacht, wenn diese 
keinen ausreichenden Schutz gewährleisten. Gemäß der Richtlinie 95/46/EG 
vom 24. Oktober 1995 (ABI. L 281 vom 23.11.1995, S. 31) haben die Mitglied- 
staaten vorzusehen, dass die Übermittlung personenbezogener Daten in ein 
Drittland nur zulässig ist, weim dieses Drittland ein angemessenes Daten- 
schutzniveau aufweist. Die Europäische Kommission kann feststellen, dass ein 
Drittland ein angemessenes Datenschutzniveau gewährleistet, ln diesem Fall 
können personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, 
ohne dass zusätzliche Garantien erforderlich sind. Diesem Ziel dient die Aner- 
kennung der „Safe Harbor“-Grundsätze und der in den „häufig gestellten Fra- 
gen“ niedergelegten Leitlinien durch die Entscheidung 520/2000/EG der EU- 
Kommission vom 26. Juli 2000 (ABI. L 215 vom 25.8.2000, S. 7). 


2. Welche nationalen, europäischen und völkerrechtlichen Vorgaben müssen 
nach Auffassung der Bundesregierung die US-Anbieter sozialer Netz- 
werke zur Wahrung des Rechts auf informationelle Selbstbestimmung und 
zur Wahrung der Persönlichkeitsrechte der Nutzerinnen und Nutzer in 
Deutschland beachten? 

Anbieter sozialer Netzwerke mit Sitz in den Vereinigten Staaten von Amerika 
müssen die Vorgaben beachten, die sich aus dem Recht der Vereinigten Staaten 
von Amerika ergeben. Darüber hinaus müssen die Vorgaben des Bundesdaten- 
schutzgesetzes (BDSG), z. B. zur Zulässigkeit der Erhebung, Verarbeitung und 
Nutzung (§§ 4, 4a, 28, 29 BDSG), zu den Rechten des Betroffenen (§§ 34, 35 
BDSG), zur Datensicherheit (§ 9 BDSG) oder zur Aufsicht (§ 38 BDSG) be- 
achtet werden, wenn personenbezogene Daten in Deutschland erhoben, verar- 
beitet oder genutzt werden und sofern Datenträger nicht nur zum Zweck des 
Transits durch Deutschland eingesetzt werden (§ 1 Absatz 5 Satz 2, 4 BDSG). 
Vorgaben aus europäischen Rechtsakten, etwa aus der Richtlinie 95/46/EG, und 
aus völkerrechtlichen Verträgen, etwa aus dem Übereinkommen des Europa- 
rates zum Schutz des Menschen bei der automatischen Verarbeitung personen- 
bezogener Daten vom 28. Januar 1981, sind auf die Gestaltung der innerstaat- 
lichen Rechtsordnung und nicht an die privatrechtlich organisierten Anbieter 
sozialer Netzwerke gerichtet. 
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3. Hält die Bundesregierung die Selbstzertifizierung der beitretenden Unter- 
nehmen für ein geeignetes Instrument, um die Überwachung und Durch- 
setzung der Grundsätze des „Sicheren Hafens“ zu gewährleisten? 

Die Bundesregierung hat bisher keine umfassende eigene Prüfung der Geeig- 
netheit des Verfahrens der Selbstzertifizierang zur Überwachung und Durch- 
setzung der Grundsätze des „Sicheren Hafens“ vorgenommen. 

4. Wie findet der Prozess der Zertifizierang konkret statt? 

Der Prozess der Zertifizierung ist in der häufig gestellten Frage 6 (Selbstzertifi- 
zierung) im Anhang 1 der Entscheidung 520/2000/EG der EU-Kommission 
vom 26. Juli 2000 dargestellt, ln den Genuss der Vorteile des „Sicheren Ha- 
fens“ kommt eine Organisation ab dem Tag, an dem sie dem US-Handelsminis- 
terium (oder einer von diesem benannten Stelle) gegenüber erklärt, dass sie ent- 
sprechend den nachstehenden Leitlinien den Gmndsätzen des „Sicheren Ha- 
fens“ beitritt (Selbstzertifizierung). Um sich selbst zu zertifizieren, muss die 
Organisation dem US -Handelsministerium (oder einer von diesem benannten 
Stelle) ein von einem leitenden Mitarbeiter der Organisation unterzeichnetes 
Schreiben vorlegen, das mindestens folgende Angaben enthält: 

1. Name der Organisation, Postanschrift, E-Mail-Adresse, Telefon- und Fax- 
nummer; 

2. Beschreibung der Tätigkeit der Organisation im Zusammenhang mit perso- 
nenbezogenen Daten aus der Europäischen Union und 

3. Beschreibung der Geschäftsbedingungen für den Datenschutz der Organisa- 
tion, die folgende Angaben umfassen muss: 

a) Ort, an dem diese Beschreibung von der Öffentlichkeit eingesehen wer- 
den kann; 

b) Tag, an dem diese Vorkehrungen in Kraft gesetzt wurden; 

c) Kontaktstelle, die für die Bearbeitung von Beschwerden, Auskunfts- 
ersuchen und anderen Angelegenheiten des „Sicheren Hafens“ zuständig 
ist; 

d) die gesetzliche Aufsichtsbehörde, die über Beschwerden gegen die 
Organisation wegen unlauteren oder irreführenden Geschäftsgebarens 
und wegen Verletzung von datenschutzrechtlichen Vorschriften entschei- 
dungsbefugt ist (und im Anhang II aufgeführt ist); 

e) die Bezeichnungen aller Datenschutzprogramme, an denen die Organisa- 
tion teilnimmt; 

f) die Art der anlassunabhängigen Kontrolle (z. B. intern oder extern) und 

g) das unabhängige Schiedsverfahren zur Behandlung ungelöster Beschwer- 
defälle. 

Das Ministerium (oder die von ihm benannte Stelle) führt eine Liste aller Orga- 
nisationen, die sich selbst zertifizieren und denen damit die Vorteile des „Siche- 
ren Hafens“ zustehen. Die Liste wird nach den jährlich eingehenden Selbst- 
zertifizierungsschreiben und den nach der häufig gestellten Frage 1 1 (Schieds- 
verfahren und Durchsetzungsprinzip) eingegangenen Mitteilungen aktualisiert. 
Das Selbstzertifizierungsschreiben ist mindestens jährlich neu vorzulegen, 
andernfalls wird die Organisation von der Liste gestrichen und verliert damit 
ihren Status als „Sicherer Hafen“. Die Liste und die von den Organisationen 
vorgelegten Selbstzertifizierungsschreiben werden der Öffentlichkeit zugäng- 
lich gemacht. Alle Organisationen, die sich selbst zertifizieren, müssen in ihren 
relevanten veröffentlichten Geschäftsbedingungen zum Datenschutz auch er- 
klären, dass sie sich an die Grundsätze des „Sicheren Hafens“ halten. 
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5. Wie viele Unternehmen sind derzeit zertifiziert, und wie vielen Unter- 
nehmen wurde die Zertifizierung bisher wieder entzogen? 

Der Bundesregierung ist nicht bekannt, wie viele Unternehmen derzeit zertifi- 
ziert sind. In der „Safe Harbor“-List des US -Handelsministeriums sind derzeit 
schätzungsweise 2300 Unternehmen eingetragen. Dabei werden aber auch die 
Unternehmen aufgeführt, deren Zertifizierung abgelaufen ist. Das US-Handels- 
ministerium übernimmt zudem keine Verantwortung für die Aktualität oder 
Vollständigkeit der Liste. Der Bundesregierung ist nicht bekannt, wie vielen 
Unternehmen die Zertifizierung bisher wieder entzogen worden ist. 


6. Hat die Bundesregierang oder ein anderer Mitgliedstaat der EU in der Ver- 
gangenheit die Möglichkeit genutzt, der Federal Trade Commission (FTC) 
die Verletzung der „Safe Harbor“-Grandsätze durch US-Untemehmen an- 
zuzeigen, und wenn ja, in Bezug auf welche Unternehmen? 

Die Kontrolle der Einhaltung des BDSG sowie anderer Vorschriften über den 
Datenschutz obliegt den Aufsichtsbehörden der Länder für den Datenschutz im 
nicht öffentlichen Bereich (§ 38 BDSG) und nicht der Bundesregierung. Die 
Bundesregierang hat der Federal Trade Commission deshalb auch keine Ver- 
letzung der „Safe-Harbor“-Grandsätze durch Unternehmen mit Sitz in den 
Vereinigten Staaten von Amerika angezeigt. Der Bundesregierung ist nicht be- 
kaimt, ob ein anderer Mitgliedstaat der Europäischen Union der Federal Trade 
Commission Verletzung der „Safe Harbor“-Grandsätze durch Unternehmen mit 
Sitz in den Vereinigten Staaten von Amerika angezeigt hat. Nach einer Presse- 
mitteilung vom Februar 2010 (www.galexia.com/public/research/articles/ 
research_articles-art56.html) hat die Federal Trade Commission mitgeteilt, dass 
noch niemand aus der Europäischen Union eine Beschwerde eingelegt hat. Mit 
Presserklärang vom 26. Mai 2010 hat die Artikel-29-Grappe, die Arbeitsgruppe 
der europäischen Datenschutzbeauftragten, mitgeteilt, die Federal Trade Com- 
mission zur Untersuchung der Datenschutzpraxis der Suchmaschinenbetreiber 
Google, Yahoo und Microsoft aufgefordert zu haben. 


7. Hat die Bundesregierung Überprüfungsmechanismen zur Effektivität des 
Abkommens eingesetzt, und falls ja, welche? 

Entsprechend den häufig gestellten Frage 5 (Die Rolle der Datenschutzbehör- 
den) und 9 (Personaldaten) im Anhang 11 der Entscheidung 520/2000/EG der 
Kommission vom 26. Juli 2000 ist ein Europäisches Datenschutzgremium ein- 
gerichtet, das zuständig ist für die Untersuchung und Beilegung von Beschwer- 
den über angebliche Verletzungen der Grundsätze des „Sicheren Hafens“. Dem 
Datenschutzgremium gehören Vertreter der verschiedenen Datenschutzbehör- 
den der Mitgliedstaaten der Europäischen Union an. Deutschland ist durch den 
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vertreten. 
Darüber hinaus obliegt die Kontrolle der Einhaltung des BDSG, einschließlich 
der Beurteilung eines angemessenen Datenschutzniveaus bei der Übermittlung 
an Drittländer nach § 4b Absatz 2, 3 BDSG unter Berücksichtigung der „Safe 
Harbor“-Grandsätze im Einklang mit Artikel 3 der Entscheidung 520/2000/EG 
der Kommission vom 26. Juli 2000 den Aufsichtsbehörden der Länder für den 
Datenschutz im nicht öffentlichen Bereich (§38 BDSG). 
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8. Ist der Bundesregierung bekannt, in wie vielen Fällen die Federal Trade 
Commission auf die „Safe Harbor“-Grundsätze bezogene Verstöße gegen 
Abschnitt 5 des FTC-Act festgestellt hat, der unlautere und irreführende 
Geschäftspraktiken verbietet? 

Nach einer Pressemitteilung vom Februar 2010 (www.galexia.com/public/re- 
search/articles/research_articles-art56.html) ist die Federal Trade Commission 
im Jahre 2009 gegen sechs Organisationen vorgegangen, die fälschlich ihre 
Selbstzertifizierung behauptet haben. 


9. Ist der Bundesregierung bekannt, in wie vielen der in Frage 8 genannten 

Fälle die FTC 

a) eine Anordnung erwirkt hat, die die beanstandete Praxis untersagt 
oder 

b) vor einem Bezirksgericht geklagt hat und daraufhin ein Bundesgericht 
eine Anordnung mit gleicher Wirkung wie in Buchstabe a angespro- 
chen, erlassen hat? 

Nach der Pressemitteilung vom Februar 2010 (www.galexia.com/public/re- 
search/articles/research_articles-art56.html) hat die Federal Trade Commission 
keine Beweise für aktuelle Verstöße gefunden. Dies spricht dafür, dass keine 
Anordnung durch die Federal Trade Commission oder ein Gericht erlassen 
worden ist. 


10. Ist der Bundesregierung die Anzahl der Fälle bekannt, die seit An- 
wendung der „Safe Harbor“-Grundsätze in Streitschlichtungsverfahren 
endeten? 

Der Bundesregierung ist nicht bekannt, wie viele Fälle seit der Anwendung der 
„Safe FIarbor“-Grundsätze in Streitschlichtungsverfahren endeten. 


1 1 . Sind die in den „Safe Harbor“-Grundsätzen vorgesehenen Sanktionen auf 
Grundlage des dort vorgesehenen Durchsetzungsprinzips nach Auf- 
fassung der Bundesregierung ausreichend, um die Einhaltung der Verein- 
barung zu gewährleisten? 

Auf die Antwort zu Frage 3 wird verwiesen. 


12. Ist die Bundesregierung der Auffassung, dass sich die Unternehmen 
Facebook und Google an die „Safe Harbor“-Grundsätze und die in den 
„häufig gestellten Fragen“ festgelegten Leitlinien halten? 

Auf die Antwort zu Frage 6 wird verwiesen. 


13. Hat das Unternehmen Facebook mit der im Dezember 2009 vorgenom- 
menen Änderung seiner Datenschutzeinstellungen (vgl. heise.de vom 
29. Januar 2010, „Facebook verstößt gegen europäische Datenschutz- 
standards“) nach Auffassung der Bundesregierung gegen europäisches 
Datenschutzrecht verstoßen? 

Auf die Antwort zu Frage 6 wird verwiesen. Die Vorgaben der Richtlinie 95/ 
46/EG sind nach Artikel 34 dieser Richtlinie an die Mitgliedstaaten gerichtet, 
nicht an privatrechtlich organisierte Anbieter sozialer Netzwerke. 
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14. Inwieweit unterliegen die US-Anbieter von sozialen Netzwerken nach 
Auffassung der Bundesregierung geringeren rechtlichen Anforderungen, 
weil sie sich auf die „Safe Harbor“- Vereinbarung stützen können, und 
verlieren sie diese Privilegierung, wenn sie Niederlassungen im EU- 
Raum gründen? 

Anbieter von sozialen Netzwerken mit Sitz in den Vereinigten Staaten von 
Amerika unterliegen durch ihren Beitritt zu den „Safe Harbor“-Grundsätzen 
nicht geringeren rechtlichen Anforderungen. Durch den Beitritt zu den „Safe 
Harbor“-Grundsätzen werden rechtliche Voraussetzungen für eine zulässige 
Übermittlung personenbezogener Daten in die Vereinigten Staaten von 
Amerika überhaupt erst geschaffen. Nach § 4b Absatz 2 Satz 2, Absatz 3 
BDSG ist ein angemessenes Schutzniveau Voraussetzung für die Zulässigkeit 
einer Übermittlung personenbezogener Daten an ein Drittland. Tritt ein Anbie- 
ter eines sozialen Netzwerks mit Sitz in den Vereinigten Staaten von Amerika 
den „Safe Harbor“-Grundsätzen bei und hält diese ein, ist nach Artikel 1 
Absatz 1 der Entscheidung 520/2000/EG der EU-Kommission vom 26. Juli 
2000 ein angemessenes Schutzniveau für personenbezogene Daten gewährleis- 
tet. 

Darüber hinaus unterliegen Anbieter eines sozialen Netzwerks, die im Inland 
Daten erheben, verarbeiten oder nutzen, nach § 1 Absatz 5 Satz 2 den Be- 
stimmungen des BDSG, wenn die verantwortliche Stelle nicht in einem Mit- 
gliedstaat der Europäischen Union oder einem anderen Vertragsstaat des 
Abkommens über den Europäischen Wirtschaftsraum belegen ist. 

Gründet ein Anbieter eines sozialen Netzwerks eine Niederlassung innerhalb 
der Europäischen Union, unterliegt er den rechtlichen Anforderangen des Mit- 
gliedstaats der Niederlassung, weil die Datenverarbeitung innerhalb der Euro- 
päischen Union stattfindet und nicht im Verhältnis zu einem Drittstaat. 


15. Welche Erkenntnisse hat die Bundesregierung darüber, inwieweit die 
rechtlichen Anforderungen zur Wahrang dieser Rechte der Nutzerinnen 
und Nutzer durch die Nutzungsbedingungen bei sozialen Netzwerken 
eingehalten werden? 

Auf die Antwort zu Frage 6 wird verwiesen. 


16. Welche Erkenntnisse hat die Bundesregierang zu juristischen Auseinan- 
dersetzungen zwischen Facebook und Nutzerinnen und Nutzem (bzw. 
klagebefugten Verbänden) in Deutschland im Hinblick auf die Nicht- 
einhaltung entsprechender datenschutzrechtlicher Vorgaben? 

Der Bundesregierung sind keine gerichtlichen Auseinandersetzungen zwischen 
Facebook und Nutzem bzw. klagebefugten Verbänden in Deutschland bekannt. 
Nach Pressemitteilungen gibt es Klagen von Nutzern in den Vereinigten Staa- 
ten und Kanada. 

Bereits 2009 hat der Verbraucherzentrale Bundesverband e. V. die Anbieter 
verschiedener sozialer Netzwerke — darunter auch Facebook — abgemahnt und 
zur Abgabe einer Unterlassungserklärang aufgefordert. 

Nach einer Pressemitteilung des Hamburgischen Beauftragten für Datenschutz 
und Informationsfreiheit vom 7. Juli 2010 (www.hamburg.de/datenschutz/aktu- 
elles/nofl/2365640/pressemitteilung-2010-07-07.html) hat dieser ein Bußgeld- 
verfahren gegen die Facebook Inc. mit Sitz in Palo Alto, USA eingeleitet. 
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17. Wie beurteilt die Bundesregierung die Erklärung des Düsseldorfer 
Kreises vom 28./29. April 2010, dass sich Datenexporteure in Deutsch- 
land nicht auf die Behauptung einer „Safe Harbor“-Zertifizierung von 
US-Untemehmen verlassen dürfen, und welche Schlussfolgerungen zieht 
sie hieraus? 

Die obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen 
Bereich weisen in ihrem Beschluss vom 28./29. April 2010 auf die daten- 
schutzrechtliche Verantwortung der verantwortlichen Stellen im Sinne des § 3 
Absatz 7 BDSG beim Export von personenbezogenen Daten in die Vereinigten 
Staaten von Amerika hin und sehen hierfür eine Mindestprüfung vor, die auf 
Nachfrage gegenüber der Aufsichtsbehörde nachzuweisen ist. Diese bundesein- 
heitliche — wenn auch für die Aufsichtsbehörden der Länder — nicht verbindli- 
che Konkretisierung der aufsichtsbehördlichen Anforderangen wird von der 
Bundesregierung begrüßt. Der Beschluss der obersten Aufsichtsbehörden für 
den Datenschutz im nicht-öffentlichen Bereich vom 28./29. April 2010 ist an 
die Daten exportierenden verantwortlichen Stellen gerichtet und nicht an die 
Bundesregierung. Die Bundesregierung zieht daher auch keine Schluss- 
folgerungen aus dem Beschluss. 


18. Welche Schlussfolgerungen zieht die Bundesregierang aus den Ergebnis- 
sen der Untersuchungen des australischen Datenschutzexperten Chris 
Connolly vom Dezember 2008, die 2009 bestätigt wurden, wonach sich 
lediglich 3,4 Prozent der US-Untemehmen, die den „Safe Harbor“- 
Grandsätzen beigetreten sind, auch tatsächlich an den darin festgelegten 
Datenschutzstandard halten? 

Die „Safe Harbor“-Grandsätze sind vom US-Handelsministerium entwickelt 
und von der Europäischen Kommission auf der Grundlage von Artikel 25 
Absatz 6 der Richtlinie 95/46/EG anerkannt worden. Es handelt sich um ein 
Verfahren zwischen der Europäischen Union und den Vereinigten Staaten von 
Amerika. Die Empfehlungen der Untersuchung sind dementsprechend an die 
Europäische Union und die Vereinigten Staaten von Amerika gerichtet. Die 
Bundesregierung zieht daher keine Schlussfolgerungen aus den Untersuchun- 
gen. 


19. Welche Schlussfolgerungen zieht die Bundesregierung aus der Resolu- 
tion des Trans Atlantic Consumer Dialogue vom 10. Mai 2010, in der der 
TACD den Regierungen vorwirft „nicht ausreichend für den Schutz der 
Mitglieder von Online-Communities zu sorgen“? 

Der Bundesregierung ist die Resolution des TACD vom 10. Mai 2010 bekannt. 
Innerhalb der Bundesregierung gibt es derzeit keine abgestimmte Auffassung 
zu der Resolution. 


20. Wie steht die Bundesregierung zu der Forderung des TACD, wonach 
soziale Netzwerke den Zugang zu Verbraucherdaten und deren Weiter- 
verarbeitung nicht zur Bedingung für die Nutzung der eigenen Dienst- 
leistung machen dürfen? 


Auf die Antwort zu Frage 19 wird verwiesen. 
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21. Wie bewertet die Bundesregierung den Vorschlag des australischen 
Datenschutzexperten Chris Connolly in seiner oben genannten Unter- 
suchung, wonach die EU sich für eine Überarbeitung der „Safe Harbor“- 
Grundsätze einsetzen sollte mit dem Ziel, dass Unternehmen ihre Daten- 
schutzbestimmungen im Internet veröffentlichen müssen? 

ln den Grundsätzen des „Sicheren Hafens“ im Anhang 1 der Entscheidung 520/ 
2000/EG der Kommission vom 26. Juli 2000 ist beim Grundsatz „Informations- 
pflicht“ vorgesehen: „Die Organisation muss Privatpersonen darüber informie- 
ren, zu welchem Zweck sie die Daten über sie erhebt und verwendet, wie sie die 
Organisation bei eventuellen Nachfragen oder Beschwerden kontaktieren kön- 
nen, an welche Kategorien von Dritten die Daten weitergegeben werden und 
welche Mittel und Wege sie den Privatpersonen zur Verfügung stellt, um die 
Verwendung und Weitergabe der Daten einzuschränken. Diese Angaben sind 
den Betroffenen unmissverständlich und deutlich erkennbar zu machen, wenn 
sie erstmalig gebeten werden, der Organisation personenbezogene Daten zu 
liefern, oder so bald wie möglich danach, auf jeden Fall aber bevor die Organi- 
sation die Daten zu anderen Zwecken verwendet als denen, für die sie von der 
übermittelnden Organisation ursprünglich erhoben oder verarbeitet wurden, 
oder bevor sie die Daten erstmalig an einen Dritten weitergibt.“ Die häufig ge- 
stellte Frage 7 (Anlassunabhängige Kontrolle) im Anhang 11 der Entscheidung 
520/2000/EG der EU-Kommission vom 26. Juli 2000 sieht ferner vor: „Die 
Selbstkontrolle umfasst eine Erklärang darüber, dass die Organisation feststellt, 
dass ihre veröffentlichten Geschäftsbedingungen zum Datenschutz betreffend 
personenbezogene Daten aus der EU sachgerecht, umfassend, an auffälliger 
Stelle bekannt gemacht, vollständig umgesetzt und für jedermann zugänglich 
sind.“ Dem in der zitierten Untersuchung vorgebrachten Petitum scheint daher 
bereits Rechnung getragen zu sein. Im Übrigen wird auf die Antwort zu 
Frage 18 verwiesen. 


22. Wie bewertet die Bundesregiemng den Vorschlag des australischen 
Datenschutzexperten Chris Connolly in seiner oben genannten Unter- 
suchung, wonach die EU sich für eine Überarbeitung der „Safe Harbor“- 
Gmndsätze einsetzen sollte mit dem Ziel, dass Verbraucherinnen und 
Verbraucher Zugang zu für sie finanziell tragbaren Streitschlichtungsver- 
fahren erhalten? 

ln den Grundsätzen des „Sicheren Hafens“ im Anhang 1 der Entscheidung 520/ 
2000/EG der EU-Kommission vom 26. Juli 2000 ist beim Grundsatz „Durch- 
setzung“ zum Mechanismus der Durchsetzung vorgesehen: „Diese Mechanis- 
men müssen mindestens folgendes umfassen: a) leicht zugängliche, erschwing- 
liche und von unabhängigen Stellen durchgeführte Verfahren . . .“. 

Auch die häufig gestellte Frage 11 (Schiedsverfahren und Durchsetzungs- 
prinzip) im Anhang II der Entscheidung 520/2000/EG der EU-Kommission 
vom 26. Juli 2000 sieht vor, dass „einem Beschwerdeführer erschwingliche 
Rechtsbehelfe ohne weiteres zur Verfügung stehen“ müssen. Im Übrigen wird 
auf die Antwort zu Frage 18 verwiesen. 


23. Ist die Bundesregierung der Auffassung, dass die „Safe Harbor“-Gmnd- 
sätze die Daten der Verbraucherinnen und Verbraucher in Deutschland 
ausreichend schützen, und wenn nein, welche Initiativen hat die Bundes- 
regierung zur Überarbeitung der Grundsätze bisher ergriffen, bzw. welche 
Initiativen plant sie hierzu? 


Auf die Antwort zu Frage 3 wird verwiesen. 
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24. Hat die Bundesregierung die „Safe Harbor“-Grundsätze schon einmal auf 
die Tagesordnung des Transatlantischen Wirtschaftsrates oder anderer 
transatlantischer Gremien gesetzt, und wenn nein, warum nicht? 

Der Transatlantische Wirtschaftsrat ist ein Gremium zwischen der Europäi- 
schen Union und den Vereinigten Staaten von Amerika. Im Abstimmungs- 
prozess zwischen der Verwaltung der Vereinigten Staaten von Amerika und der 
Europäischen Kommission wurden die „Safe Harbor“-Grandsätze bislang nicht 
als Thema für ein Treffen des Transatlantischen Wirtschaftsrates identifiziert. 
Seit dem Jahr 2005 veranstalten die Vereinigten Staaten von Amerika, die Eu- 
ropäische Kommission und die Artikel-29-Gruppe der europäischen Daten- 
schutzaufsichtsbehörden jährlich eine internationale Konferenz zu den „Safe 
Harbor“-Grundsätzen, um anstehende Fragen zu erörtern und nach Lösungen 
zu suchen, zuletzt im November 2009 in Washington. 


25. Hat sich die Bundesregiemng vor dem Hintergrund der Erfahrungen mit 
den „Safe Harbor“-Gmndsätzen in die Verhandlungen zu einem all- 
gemeinen Datenschutzabkommen mit den USA eingebracht, bei dem 
auch die Frage des Zugriffs auf Daten Privater durch US-Behörden im 
Raum steht? 

Die Bundesregierung begleitet aktiv den seit 2007 anhaltenden Dialogprozess 
zwischen der Europäischen Union und den Vereinigten Staaten von Amerika 
über Datenschutzfragen der polizeilichen und justiziellen Zusammenarbeit in 
Strafsachen. Das beabsichtigte Abkommen zwischen der Europäischen Union 
und den Vereinigten Staaten von Amerika über den Schutz personenbezogener 
Daten bei Übermittlung und Weiterverarbeitung zum Zweck der Verhütung und 
Verfolgung von Straftaten (häufig als Allgemeines Datenschutzabkommen be- 
zeichnet) stellt einen wichtigen Schritt zur Lösung der insoweit bestehenden 
Rechtsfragen und Probleme dar, etwa betreffend abweichender Speicherfristen, 
abweichender Auskunftsrechte, abweichender Rechtsschutzmöglichkeiten und 
abweichender Datenschutzaufsicht. Die Bundesregierung wird alle Möglich- 
keiten nutzen, um zu erreichen, dass das hohe Schutzniveau für polizeiliche 
und staatsanwaltschaftliche Daten auch nach einer eventuellen Übermittlung in 
die Vereinigten Staaten von Amerika sichergestellt ist. Aus Sicht der Bundes- 
regierung sollte das Vorhaben aber nicht mit Forderungen belastet werden, die 
den Anwendungsbereich der Richtlinie 95/46/EG und des hieran anknüpfenden 
„Safe FIarbor“-Regimes betreffen. Es ist schon heute absehbar, dass eine Ein- 
beziehung von Daten europäischen Ursprangs, die unter „Safe Flarbor“ in die 
Vereinigten Staaten von Amerika übermittelt wurden und dort dem Zugriff von 
US-Behörden ausgesetzt sind, völkerrechtliche Fragen der territorialen Souve- 
ränität aufwerfen würde, welche einer erfolgreichen Einigung im Wege stehen 
könnten. 


26. Rät die Bundesregiemng vor diesem Hintergmnd deutschen Verbrauche- 
rinnen und Verbrauchern, ihre Facebook-Profile zu löschen, oder sieht die 
Bundesregiemng andere Möglichkeiten, um den Schutz von Nutzerdaten 
deutscher Verbraucherinnen und Verbraucher im transatlantischen Daten- 
verkehr zu gewährleisten? 

Es ist die eigenverantwortliche Entscheidung der deutschen Verbraucher, ob sie 
bei Anbietern von sozialen Netzwerken mit Sitz in den Vereinigten Staaten ein 
Profil anlegen, welche ihrer Daten sie hierfür verwenden oder ob sie ein Profil 
wieder löschen. 
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